Forense caso 00e: mudanças entre as edições

De Eriberto Wiki
Ir para navegação Ir para pesquisar
Sem resumo de edição
mSem resumo de edição
 
(3 revisões intermediárias pelo mesmo usuário não estão sendo mostradas)
Linha 1: Linha 1:
{{cabeçalho forense|00e - Pendrive no cyber café|Brasília, DF, 22 de agosto de 2012|16 de março de 2014}}
{{cabeçalho forense|00e - Pendrive no cyber café|Brasília, DF, 22 de agosto de 2012|16 de março de 2014}}


[[image:cybercafe.png|left|100px]]Jair, pai de Carolina, foi a um cyber café imprimir um trabalho de escola para a filha, uma vez que a tinta da impressora de casa havia acabado. No entanto, ficou com receio de ter o seu pendrive contaminado com algum vírus ou coisa do tipo e, logo após inserir tal pendrive no computador do cyber, retirou-o e resolveu levá-lo à casa de um amigo que possuía impressora. Mas será que, somente pela simples inserção do pendrive na máquina, já seria tarde?
[[image:cybercafe.png|left|100px]]No dia 20 de agosto de 2012, Jair, pai de Carolina, foi a um cyber café imprimir um trabalho de escola para a filha, uma vez que a tinta da impressora de casa havia acabado. No entanto, ficou com receio de ter o seu pendrive contaminado com algum vírus ou coisa do tipo e, logo após inserir tal pendrive no computador do cyber, retirou-o e resolveu levá-lo à casa de um amigo que possuía impressora. Mas será que, somente pela simples inserção do pendrive na máquina, já seria tarde?


<br><br><br><br>
<br><br><br><br>
{{cabeçalho_forense2}}
{{cabeçalho_forense2}}
Responda às perguntas a seguir, analisando a [http://eriberto.pro.br/forense/caso_00e/caso_00e.dd.bz2 imagem de pendrive] (58 MB comprimidos, 64 MB descomprimidos) disponibilizada.
Resolva as questões a seguir, analisando a [http://eriberto.pro.br/forense/caso_00e/caso_00e.dd.bz2 imagem de pendrive] (58 MB comprimidos, 64 MB descomprimidos) disponibilizada.


O hash MD5 da imagem comprimida é 9c8c5569f4600c9b6c61c0a38c9c21ca.
O hash MD5 da imagem comprimida é 9c8c5569f4600c9b6c61c0a38c9c21ca.
Linha 13: Linha 13:
  $ bunzip2 pen.dd.bz2
  $ bunzip2 pen.dd.bz2
<br><br>
<br><br>
<big>'''Responda:'''</big>
<big>'''Questões:'''</big>


# Utilizando uma linha do tempo, descubra se houve atuação de algum malware ou não e, se for o caso, quais operações o mesmo realizou no filesystem. (fls -rm + mactime -z BRT)
# Utilizando uma linha do tempo, descubra se houve atuação de algum malware ou não e, se for o caso, quais operações o mesmo realizou no filesystem. (fls -rm + mactime -z BRT)
# Utilizando o antivírus Clamav, descubra qual malware afetou o pendrive. (freshclam + clamscan -ri)
# Utilizando o antivírus Clamav, descubra qual malware afetou o pendrive. (freshclam + clamscan -ri)
# Submeta o malware ao site [https://www.virustotal.com VirusTotal].
# Submeta o malware ao site [https://www.virustotal.com VirusTotal].
# Com o comando ''cat'', analize o conteúdo dos arquivos ''.lnk'', criados pelo vírus.
<br><br>
<br><br>
'''Observação final:''' o Clamav também pode remover o malware, se utilizado com a opção --remove=yes ou --move=diretório. No entanto, isso nunca será feito em uma análise pericial.
'''Observação final:''' o Clamav também pode remover o malware, se utilizado com a opção --remove=yes ou --move=diretório. No entanto, isso nunca será feito em uma análise pericial.
<br>
<br>

Edição atual tal como às 18h55min de 5 de junho de 2015

by (C) João Eriberto Mota Filho <eriberto (a) eriberto pro br>

Caso para estudo, ligado diretamente ao artigo perícia forense computacional, existente neste wiki.

Última atualização: veja o rodapé desta página.




Caso 00e - Pendrive no cyber café


Brasília, DF, 22 de agosto de 2012


Atualização em: 16 de março de 2014




No dia 20 de agosto de 2012, Jair, pai de Carolina, foi a um cyber café imprimir um trabalho de escola para a filha, uma vez que a tinta da impressora de casa havia acabado. No entanto, ficou com receio de ter o seu pendrive contaminado com algum vírus ou coisa do tipo e, logo após inserir tal pendrive no computador do cyber, retirou-o e resolveu levá-lo à casa de um amigo que possuía impressora. Mas será que, somente pela simples inserção do pendrive na máquina, já seria tarde?







Exercício de aplicação



Resolva as questões a seguir, analisando a imagem de pendrive (58 MB comprimidos, 64 MB descomprimidos) disponibilizada.

O hash MD5 da imagem comprimida é 9c8c5569f4600c9b6c61c0a38c9c21ca.

Para descompactar a imagem, utilize o comando:

$ bunzip2 pen.dd.bz2



Questões:

  1. Utilizando uma linha do tempo, descubra se houve atuação de algum malware ou não e, se for o caso, quais operações o mesmo realizou no filesystem. (fls -rm + mactime -z BRT)
  2. Utilizando o antivírus Clamav, descubra qual malware afetou o pendrive. (freshclam + clamscan -ri)
  3. Submeta o malware ao site VirusTotal.
  4. Com o comando cat, analize o conteúdo dos arquivos .lnk, criados pelo vírus.



Observação final: o Clamav também pode remover o malware, se utilizado com a opção --remove=yes ou --move=diretório. No entanto, isso nunca será feito em uma análise pericial.